Украинская группа реагирования на компьютерные чрезвычайные ситуации CERT-UA сообщила о новой массовой кампании кибершпионажа.
Согласно отчету, опубликованному в понедельник, злоумышленник, идентифицированный исследователями как UAC-0063, после атаки на нераскрытое украинское госучреждение также попытался атаковать Монголию, Казахстан, Кыргызстан, Израиль и Индию.
Первоначально исследователи обнаружили активность, связанную с UAC-0063, в 2021 году, но происхождение группы остается неясным.
Целью его атак, по данным CERT-UA, является сбор разведданных
В своей последней апрельской кампании
хакеры использовали скомпрометированную учетную запись электронной почты посольства Таджикистана в Украине,
чтобы отправить вредоносное электронное письмо в украинское государственное учреждение.
Письмо якобы было приглашением на предполагаемую встречу с посольством, но на самом деле его целью было заражение получателя вредоносными программами. Команда CERT-UA обозначила их как:
Чтобы затруднить расследование и атрибуцию своих атак, хакеры использовали программные инструменты PyArmor и Themida, которые защищают программы от обратной разработки, несанкционированного доступа и кражи кода.
Чтобы свести к минимуму влияние атаки этой группы, CERT-UA рекомендует организациям ограничивать выполнение пользователями утилиты Windows «mshta.exe», а также приложений Windows Script Host «wscript.exe» и «cscript.exe» вместе с интерпретатором Python.
Исследователи кибербезопасности отслеживают несколько кампаний кибершпионажа, направленных против Украины. В феврале аналитики Symantec заявили, что группа, известная как Nodaria или UAC-0056, использовала вредоносное ПО, известное как Graphiron, против целей в Украине.
Источник: TheRecord